Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / REGISTRAR ABUSE RESPONSE FAILURE

Les signalements d'abus concernant les bureaux d'enregistrement sont ignorés

The Enablers Registry·Editorial mirror·/fr/registrar-abuse-response-failure

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Quand les signalements d'abus restent sans suite — Absence de réaction de la part du registraire
ENQUÊTE • 15 à 18 minutes de lecture

Quand les signalements d'abus restent sans suite : comment les bureaux d'enregistrement deviennent des complices silencieux de la cybercriminalité

Nous envoyons des rapports d'abus étayés par de nombreuses preuves : détections de VirusTotal, captures d'écran, données issues de listes noires, analyses antivirus. Les bureaux d'enregistrement les reçoivent, mais ne font rien. Certains domaines de hameçonnage continuent d'exister. 1 788 heures et 13 rapports distincts. Il ne s'agit pas d'une défaillance du système, mais d'un choix de conception. Voici les données.

Le système défaillant

Chaque signalement d'abus que nous envoyons suit un protocole précis : URL du domaine, catégorie (hameçonnage, crypto-drainer, faux casino), nombre de détections sur VirusTotal, captures d'écran à l'appui et statut sur liste noire. Il ne s'agit pas de simples plaintes vagues, mais de dossiers d'enquête complets. Et pourtant, les domaines restent en ligne les uns après les autres pendant semaines et mois après le premier rapport.

Il n'existe aucune norme universelle régissant la manière dont les bureaux d'enregistrement doivent traiter les signalements d'abus. Pas de contrat de niveau de service (SLA). Pas de délai de réponse obligatoire. Pas d'indicateur de responsabilité. Chaque bureau d'enregistrement décide de son propre chef de la suite à donner à un nom de domaine signalé par 16 moteurs antivirus mérite qu'on s'y intéresse — ou une réponse type et la clôture du ticket.

1 788 h
payscrow[.]bet — actif depuis 75 jours malgré 6 signalements et 16 détections sur VirusTotal. Registraire : IANA #69 / Identity Digital.

Qui parvient à surpasser 16 moteurs antivirus ?

C'est la question à laquelle aucun registraire ne souhaite répondre. Quand Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data et que dix autres éditeurs de solutions de sécurité signalent un domaine comme malveillant sur VirusTotal — et que l'équipe chargée de la lutte contre les abus du registraire décide « Aucune action requise » — Qui a pris cette décision, exactement ?

Imaginez l'absurdité de la situation : un seul analyste chargé de la lutte contre les abus au sein d'un bureau d'enregistrement passe outre l'ensemble des renseignements sur les menaces fournis par 16 moteurs antivirus indépendants, chacun disposant de milliards de points de données, de laboratoires de recherche spécialisés et de plusieurs décennies d'expérience. Sur quelle base ? De quelle infrastructure d'analyse dispose une équipe chargée de la lutte contre les abus chez IANA #3765 ou GlobalDomainGroup qui surpasserait celle de Kaspersky ?

La réponse est simple : aucun. Ils ne vérifient pas. Ils ne contrôlent pas. Soit ils ne jettent même pas un œil au rapport, soit ils se basent sur un simple calcul financier : un domaine actif génère des revenus ; un domaine suspendu n'en génère pas.

[REDACTED] — 13 signalements d'abus envoyés. 13 détections par VirusTotal. Actif depuis 1 352 heures (56 jours). Le registraire ([REDACTED] / Verisign) a reçu des éléments de preuve de la part de fournisseurs d'antivirus, de plateformes de veille sur les menaces et du service de conformité de l'ICANN. Le domaine est toujours actif. Qui a décidé que c'était acceptable ?

Soyons clairs sur ce que cela signifie : un responsable du registre a examiné les éléments de preuve fournis par 13 prestataires de sécurité indépendants et 13 signalements d’abus distincts — et a décidé que son propre jugement prévalait. Ce n’est pas une erreur. C’est une politique.

Aucune autorité qu'ils respectent

Citez un seul éditeur d'antivirus que les bureaux d'enregistrement considèrent comme une référence. Vous ne pouvez pas — car il n'y en a pas.

  • Kaspersky — détecte-t-il le domaine ? Ignoré.
  • ESET — le système le signale comme une tentative d'hameçonnage ? Ignoré.
  • Fortinet — le bloque-t-il au niveau du réseau ? Ignoré.
  • BitDefender — met en garde des millions d'utilisateurs ? Personne n'en tient compte.
  • Google Safe Browsing — le plus grand système de sécurité sur Internet au monde ? On continue de l'ignorer.

Il y a pas de seuil de détection dans ce cas, le registraire est tenu d'agir. Pas 5 moteurs. Pas 10. Pas 16. Un domaine peut être signalé par tous les éditeurs d'antivirus sur VirusTotal, figurer sur plusieurs listes noires et faire l'objet d'une douzaine de signalements d'abus — et le registraire n'est soumis à aucune obligation exécutoire de prendre des mesures.

Il ne s'agit pas d'une faille du système. Voici le système. Le secteur de l'enregistrement de noms de domaine a réussi à échapper à toute norme contraignante qui l'obligerait à tenir compte des conclusions des chercheurs en sécurité, des éditeurs d'antivirus ou des plateformes de veille sur les menaces. Lorsque 16 moteurs sur 70 détectent un domaine, ce n'est pas un « peut-être ». C'est un consensus. Et l'équipe chargée de la lutte contre les abus du registraire, qui ne dispose d'aucune infrastructure d'analyse et a tout intérêt, d'un point de vue financier, à maintenir le domaine actif, passe outre ce consensus.

0
Le nombre de fournisseurs d'antivirus dont les résultats sont pris en compte par les bureaux d'enregistrement est de tenu de sur lesquelles agir. Ni Kaspersky. Ni ESET. Ni Google. Rien du tout.
Le mur du silence du secteur — Plus de 50 000 domaines signalés toujours en ligne, bloqués par IANA #3765, IANA #69, GlobalDomainGroup, apiname, IANA #1861, IANA #472 et Endurance
Plus de 50 000 signalements d'abus ont été enregistrés. Le « mur des bureaux d'enregistrement » tient bon. Les noms de domaine restent en ligne.

L'incitation financière

Les bureaux d'enregistrement de noms de domaine facturent des frais annuels pour chaque nom de domaine. Chaque suspension représente une perte de revenus. Chaque retrait comporte un risque de remboursement. Il existe donc une incitation financière directe et mesurable à maintenir les noms de domaine actifs — et aucune sanction financière n'est prévue en cas de non-prise en compte des signalements d'abus.

Ce n'est pas le cas pour tous les fournisseurs d'infrastructures. IANA #1910, par exemple, traite efficacement les signalements d'abus et ne tire pas de revenus des enregistrements de noms de domaine de la même manière. Cette distinction est importante : lorsque l'entreprise qui traite votre signalement tire profit du fait que le nom de domaine reste en ligne, le conflit d'intérêts est structurel.

Les faits : données en temps réel issues de nos rapports

Vous trouverez ci-dessous un extrait de notre journal d'escalade des abus de mars 2026. Chaque entrée correspond à un véritable domaine de hameçonnage qui a été toujours en activité au moment de la rédaction du présent rapport, malgré des informations antérieures et des cas confirmés.

DomaineRapportsActif (heures)VTBLAbus de la part du registraire
payscrow[.]bet61 788 h16IANA #69
[REDACTED]41 783 h41Endurance
[REDACTED]21 781 h3IANA #3765
airdrop[.]autos31 364 h41IANA #1923
[REDACTED]71 363 h141IANA #69
[REDACTED]71 363 h91IANA #69
[REDACTED]41 363 h101[REDACTED]
aavleaderboard[.]assetavenue[.]capital21 359 h1Identité numérique
[REDACTED]21 359 h1IANA #1068
[REDACTED]131 352 h13[REDACTED]
[REDACTED]41 330 h14Verisign
zordex[.]us31 314 h14[REDACTED]
[REDACTED]21 278 h15GlobalDomainGroup
[REDACTED]21 278 h71IANA #3765
[REDACTED]41 278 h41IANA #3765
[REDACTED]21 278 h61IANA #69
[REDACTED]41 228 h16IANA #1861
[REDACTED]21 049 h16IANA #472
amlinfo[.]now21 033 h2IANA #1861
[REDACTED]41 026 h14GlobalDomainGroup
[REDACTED]61 021 h14[REDACTED]
menty[.]sbs4985 h16[REDACTED]
[REDACTED]5971 h14[REDACTED]
amlbot[.]im4965 h6nic.im
[REDACTED]2879 h2GlobalDomainGroup
[REDACTED]5826h11PDR
[REDACTED]2803h2IANA #3765
[REDACTED]2751 h6PDR
[REDACTED]2730 h3Endurance
[REDACTED]2717h15GlobalDomainGroup
[REDACTED]2717h6GlobalDomainGroup
[REDACTED]2674 h2PIR
[REDACTED]2652 h2PIR
[REDACTED]2618 h15IANA #1923
[REDACTED]5539 h14INWX
[REDACTED]5535 h12GlobalDomainGroup
[REDACTED]2496 h3IANA #1509
[REDACTED]2448 h1[REDACTED]
patricksstash[.]to2427 h2tonic.to
[REDACTED]2427 h5IANA #3765
[REDACTED]2402h14[REDACTED]
[REDACTED]2388 h16[REDACTED]
dexscreener[.]at2328 h16nic.at
[REDACTED]116Verisign
appether[.]fi1131

VT = Détections de VirusTotal sur environ 70 moteurs. « Actif » = nombre d'heures écoulées depuis la première détection au moment de l'escalade. Données : journal d'escalade des abus de THE ENABLERS REGISTRY, du 19 au 21 mars 2026.

Les chiffres ne mentent pas

Temps d'activité moyen

943 h

Environ 39 jours en moyenne pour l'ensemble des domaines dont les heures d'activité sont connues

Durée maximale d'activité

1 788 h

payscrow[.]bet — 75 jours, 6 signalements, VT:16

Nombre total de rapports envoyés

150+

Rapports combinés couvrant l'ensemble des domaines, pour cet échantillon uniquement

Domaines dont la valeur VT est supérieure ou égale à 10

22

Près de la moitié de tous les domaines — dont la nature malveillante a été confirmée par au moins dix moteurs antivirus — sont toujours actifs

Les récidivistes : analyse par greffe

Tous les bureaux d'enregistrement ne se valent pas. Nos données révèlent des tendances nettes : certains bureaux d'enregistrement apparaissent régulièrement parmi les moins performants.

[REDACTED]

  • [REDACTED] — 1 352 h, 13 signalements, VT : 13
  • zordex[.]us — 1 314 h, 3 signalements, VT : 14
  • [REDACTED] — 1 021 h, 6 signalements, VT : 14
  • [REDACTED] — 971h, 5 signalements, VT:14

4 domaines. Au total : 4 658 heures d'infrastructure criminelle. 27 signalements ignorés.

GlobalDomainGroup

  • [REDACTED] — 1 026 h, VT : 14
  • [REDACTED] — 717 h, VT : 15
  • [REDACTED] — 717h, VT:6
  • [REDACTED] — 535h, VT:12
  • [REDACTED] — 356 h, VT:9
  • [REDACTED] — 357 h, VT : 2
  • [REDACTED] — 327 h, VT : 6
  • [REDACTED] — 327 h, VT : 2
  • [REDACTED] — 293h, VT:1
  • [REDACTED] — 365 h, VT : 1

10 domaines. Il s'agit du plus grand groupe de notre ensemble de données. Une tendance, et non un hasard.

IANA #69 / IdentityDigital

  • payscrow[.]bet — 1 788 h, 6 signalements, VT : 16
  • [REDACTED] — 1 363 h, 7 signalements, VT : 14, BL : 1
  • [REDACTED] — 1 363 h, 7 signalements, VT : 9, BL : 1
  • [REDACTED] — 1 278 h, 2 signalements, VT : 6, BL : 1

IANA #69 : 22 signalements au total, soit 5 792 heures de fraude. amlstats a reçu 7 signalements — un par semaine — et a réussi à les gérer tous.

IANA #3765 (IANA #3765)

  • [REDACTED] — 1 781 h, VT : 3
  • [REDACTED] — 1 278 h, VT : 7, BL : 1
  • [REDACTED] — 1 278 h, 4 signalements, VT : 4, BL : 1
  • [REDACTED] — 803h, VT:2
  • [REDACTED] — 427h, VT:5
  • [REDACTED] — 310h, VT:2
  • [REDACTED] — premier rapport, VT:1
  • [REDACTED] — premier compte rendu, VT:2

8 domaines. Plus de 5 877 heures au total. Sujets déjà étudiés : Verdict de IANA #3765 — aucune utilisation légitime n'a été trouvée.

IANA #1861

  • [REDACTED] — 1 228 h, 4 signalements, VT:16
  • amlinfo[.]now — 1 033 h, 2 rapports, VT : 2
  • [REDACTED] — 712 h, 2 signalements, VT:1

[REDACTED] : 16 détections par des antivirus, 4 signalements et 51 jours en ligne. Qu'est-ce que l'équipe chargée de la lutte contre les abus de IANA #1861 a jugé acceptable ?

IANA #472

  • [REDACTED] — 1 049 h, 2 signalements, VT : 16
  • aave[.]events — premier rapport, VT : 2, BL : 1
  • [REDACTED] — premier rapport, VT:9

[REDACTED] : 16 détections de VT et 44 jours d'activité criminelle. IANA #472 est un bureau d'enregistrement accrédité par l'ICANN.

[REDACTED]

  • [REDACTED] — 388 h, VT : 16
  • [REDACTED] — 402h, VT:14

Ces deux domaines ont été détectés par 14 à 16 antivirus. Ils sont toujours actifs après le deuxième rapport.

Les partenaires silencieux de la cybercriminalité — Schéma de réseau montrant les bureaux d'enregistrement connectés au nœud ABUSE IGNORED, qui est resté inactif pendant des heures
Chaque nœud correspond à un bureau d'enregistrement accrédité par l'ICANN. Chaque chiffre correspond au nombre d'heures pendant lesquelles une infrastructure criminelle confirmée est restée en ligne après avoir fait l'objet de signalements d'abus.

Nombre total d'heures d'inaction par greffier

IANA #3765
5 877 h
IANA #69
5 792 h
GlobalDomainGroup
5 520 h+
[REDACTED]
4 658 h
IANA #1861
2 973 h
Endurance
2 513 h
IANA #472
1 049 h+
[REDACTED]
790h

Nombre total d'heures d'activité de tous les domaines signalés par registraire dans notre ensemble de données de mars 2026. Il ne s'agit pas du nombre total d'abus commis par les registraires, mais uniquement de ce que nous avons observé dans un échantillon.

Ce que nous leur envoyons vs ce qu'ils font

Chaque signalement d'abus sur THE ENABLERS REGISTRY comprend :

Notre rapport contient

  • URL du domaine et données d'enregistrement
  • Score VirusTotal avec les noms des éditeurs
  • Capture d'écran en pleine page du site de hameçonnage
  • Classification par catégorie (hameçonnage, site de détournement de fonds, casino frauduleux)
  • Statut de liste noire provenant de plusieurs sources
  • URLscan.io ou résultats d'analyse similaires
  • Historique des rapports antérieurs et chronologie

Réponse du registraire

  • Aucune réponse (cas le plus fréquent)
  • Confirmation de réception du modèle, aucune action requise
  • « Nous allons examiner la question » — les semaines passent, le nom de domaine reste en place
  • « Nous ne pouvons pas vérifier cette affirmation » — malgré 16 détections de VT
  • Ticket clôturé sans résolution
  • Demande concernant des éléments de preuve déjà fournis

Face à l'inaction du registraire, nous portons l'affaire devant Conformité aux normes de l'ICANN (compliance@icann.org). Dans tous les cas cités ci-dessus, l'ICANN a été mise en copie (CC) sur le deuxième rapport ou les rapports suivants. Les résultats ? Tout aussi absents.

La norme de l'ICANN qui n'existe pas

L'ICANN Accord d'accréditation des bureaux d'enregistrement (RAA), section 3.18 oblige les bureaux d'enregistrement à désigner un interlocuteur chargé des signalements d'abus et à « prendre des mesures raisonnables et rapides pour enquêter et réagir de manière appropriée » aux signalements d'abus.

Dans la pratique, l'expression « raisonnable et rapide » signifie ce que le greffier décide qu'elle signifie. Il existe :

  • Pas de délai de réponse maximal — un registraire peut attendre des semaines et prétendre que c'était « raisonnable »
  • Pas de seuil de suspension obligatoire — 16 détections de VT ne déclenchent pas automatiquement quoi que ce soit
  • Aucune obligation de publication d'informations — les bureaux d'enregistrement ne sont pas tenus de publier le nombre de signalements qu'ils reçoivent ni de préciser les mesures qu'ils prennent à leur suite
  • Aucune sanction significative — L'ICANN a rarement révoqué une accréditation pour inaction face à des abus

Résultat : les bureaux d'enregistrement considèrent la gestion des abus comme un centre de coûts à réduire au minimum, et non comme une obligation de sécurité à respecter.

Ce que devrait être la norme : Accusé de réception sous 24 heures. Mesures prises sous 72 heures pour les domaines présentant un VT ≥ 10. Suspension automatique après au moins trois signalements indépendants. Publication trimestrielle des indicateurs relatifs aux abus. Sanctions financières en cas de non-respect systématique.

Ils luttent contre le typosquatting, mais pas contre le possibly phishing

Voici ce qui rend tout cela encore plus absurde. Certains de ces mêmes bureaux d'enregistrement, qui ignorent pendant des mois les signalements de hameçonnage, se montrent extrêmement efficaces face à un type spécifique d'abus : typosquatting — les noms de domaine présentant une similitude susceptible de prêter à confusion avec des marques bien établies.

Pourquoi ? Parce que le « typosquatting » vise entreprises disposant de budgets juridiques. Lorsque Google, Apple ou Microsoft dépose une plainte UDRP concernant un nom de domaine similaire, les bureaux d'enregistrement réagissent en l'espace de quelques jours. La menace de poursuites judiciaires et de sanctions de l'ICANN pour utilisation abusive d'une marque est bien réelle et immédiate.

Mais quand un domaine de hameçonnage vole de l'argent à des particuliers ? Quand un « crypto drainer » vide les économies d'une vie ? Quand un faux casino vole les données de carte bancaire des joueurs ? Pas de service juridique d'entreprise. Pas de procédure UDRP. Pas d'urgence. Le service chargé des abus du registraire applique un critère différent : dans ce cadre, la perte financière subie par la victime ne suscite pas la même réaction que les préoccupations d'une marque concernant ses droits de marque.

Rapport sur le typosquatting

  • Le titulaire de la marque dépose une plainte au titre de l'UDRP
  • Le registraire répond en quelques jours
  • Domaine verrouillé/suspendu rapidement
  • Conséquences juridiques de l'inaction

Signalement d'hameçonnage/d'escroquerie

  • Les victimes et les chercheurs déposent des signalements d'abus
  • Le greffier fait la sourde oreille pendant des semaines, voire des mois
  • Le nom de domaine reste actif jusqu'à son expiration
  • Aucune conséquence en cas d'inaction

Le message est clair : Les bureaux d'enregistrement protègent les marques, pas les personnes. Ils se fondent sur des arguments juridiques, et non sur des preuves de préjudice. Nos rapports contiennent davantage d'éléments objectifs que n'importe quelle plainte déposée dans le cadre de l'UDRP — analyses VirusTotal, détections antivirus, confirmations de présence sur des listes noires, captures d'écran — et pourtant, ils restent sans réponse.

Nous faisons leur travail… gratuitement

THE ENABLERS REGISTRY est un projet indépendant et à but non lucratif. Nous analysons les noms de domaine. Nous classons les menaces. Nous générons des rapports VirusTotal. Nous réalisons des captures d'écran. Nous rédigeons des rapports détaillés sur les abus et les envoyons aux bureaux d'enregistrement, aux registres et à l'ICANN. Nous nous chargeons des tâches de sécurité que les bureaux d'enregistrement devraient assurer eux-mêmes.

Et voici la vérité qui dérange : Certains bureaux d'enregistrement s'en chargent effectivement. Certains bureaux d'enregistrement gèrent leur propre infrastructure d'analyse des domaines, utilisent des sources d'informations privées sur les menaces et suspendent de manière proactive les domaines malveillants avant même que quiconque ne les signale. Ils existent bel et bien. Ils prouvent que c'est possible.

Des bureaux d'enregistrement qui agissent

  • Exécuter des outils d'analyse internes (privés, non accessibles au public)
  • Suspendre de manière proactive les domaines présentant des signes évidents de fraude
  • Répondre aux signalements d'abus en quelques heures
  • Collaborer avec les chercheurs et les forces de l'ordre
  • Accepter les données de VirusTotal et celles de la liste noire comme éléments de preuve

Ces bureaux d'enregistrement démontrent qu'une intervention rapide en cas d'abus est techniquement et économiquement réalisable.

Les bureaux d'enregistrement qui protègent les escrocs

  • Absence totale d'infrastructure de numérisation
  • Attendez les rapports, puis ne tenez pas compte d'eux
  • Réponses types, ticket clôturé, domaine actif
  • Refuser de recevoir des rapports (modèle IANA #1479)
  • Contourner 16 moteurs antivirus sans laisser la moindre trace

Ces bureaux d'enregistrement ont privilégié le profit au détriment de la sécurité. Leur inaction est financée par la communauté de la sécurité, qui fait leur travail gratuitement.

La question n'est pas de savoir s'il est possible de réagir rapidement aux abus. C'est vrai. La question est de savoir pourquoi certains bureaux d'enregistrement choisissent de ne pas le faire. Et la réponse, à chaque fois, revient toujours à la même incitation structurelle : Les domaines actifs génèrent des revenus. Les domaines suspendus, non.

Normes faisant autorité qui devraient s'appliquer

Le cadre permettant de demander des comptes aux bureaux d'enregistrement existe déjà — mais il n'est tout simplement pas appliqué :

RAA de l'ICANN, § 3.18

Le Convention d'accréditation des bureaux d'enregistrement oblige les bureaux d'enregistrement à tenir à jour une liste de contacts chargés de traiter les signalements d'abus et à enquêter rapidement sur ces derniers. Dans les faits, cette obligation n'est pratiquement jamais appliquée.

APWG

Le Groupe de travail contre le hameçonnage publie des rapports trimestriels sur les tendances en matière d'hameçonnage, qui mettent en évidence l'ampleur du problème. Les bureaux d'enregistrement font partie de l'APWG — mais continuent d'ignorer ces rapports.

Mesures prises par la FTC

Le Lettre d'avertissement de la FTC adressée à IANA #1479 (décembre 2024) a explicitement dénoncé l'inaction face à la fraude. L'ICANN elle-même Service de conformité reçoit nos signalements et ne donne aucune réponse.

DNSAI

Le Institut sur les abus liés au DNS (par le PIR) développe des outils tels que DAAR et promeut les meilleures pratiques. Pourtant, le registre du PIR héberge lui-même les sites [REDACTED] (674h actif, VT:2) et [REDACTED] (652h).

50 000 domaines, et ce n'est pas fini !

Les exemples ci-dessus constituent un échantillon correspondant à une seule semaine. L'ampleur réelle est stupéfiante.

Plus de 50 000
Domaines de hameçonnage actifs dans notre liste à supprimer qui ont fait l'objet de signalements d'abus. La plupart sont toujours en ligne.

Notre flux d'informations sur les menaces, mis à jour en permanence, est disponible à l'adresse content_active.txt contient plus de 50 000 domaines signalés comme malveillants. Chacun d'entre eux a fait l'objet d'au moins un signalement d'abus. Beaucoup en ont reçu plusieurs. Les bureaux d'enregistrement ont reçu les preuves — les analyses VirusTotal, les captures d'écran, les confirmations d'inscription sur des listes noires — et ont préféré défendre leurs clients au détriment de la sécurité du public.

Parce que c'est bien de ça qu'il s'agit : un choix. Le client du registraire, c'est la personne qui a enregistré le nom de domaine — l'escroc. Le client du registraire, ce n'est pas la grand-mère qui a perdu ses économies sur une fausse page bancaire, ni l'utilisateur de cryptomonnaies dont le portefeuille a été vidé, ni le joueur dont le compte [REDACTED] a été piraté. C'est le registraire qui a choisi l'escroc. À chaque fois.

50 000 domaines, aucune responsabilité — Une chaîne de production de domaines de hameçonnage portant la mention « AUCUNE MESURE » de la part de IANA #3765, IANA #69, GlobalDomainGroup, apiname et IANA #1861
La chaîne de production des signalements d'abus : les domaines arrivent avec des détections VT:16, sont marqués « AUCUNE ACTION » et continuent leur chemin. Les noms des bureaux d'enregistrement s'affichent en surbrillance au-dessus de la ligne qu'ils ont générée.

Du signalement aux victimes : chaque heure compte

Dès que nous envoyons un signalement d'abus, un délai commence à courir. À partir de ce moment-là, le registraire est officiellement informé qu'un nom de domaine dont ils ont la gestion est utilisé à des fins frauduleuses. Chaque heure d'inaction qui suit cette notification est une heure de complicité éclairée.

De nombreux domaines de notre ensemble de données ne se contentent pas de survivre à quelques signalements : ils survivent jusqu’à ce que leur la période d'inscription prend fin. Ils suivent tout le cycle : enregistrement, escroquerie, signalement, nouveau signalement, saisine de l'ICANN, poursuite de l'escroquerie, expiration naturelle du nom de domaine. Le bureau d'enregistrement a perçu les frais d'enregistrement. L'escroc a empoché les fonds volés. Les victimes n'ont rien obtenu.

IANA #1479 a publiquement nié avoir reçu les signalements d'abus dont nous avons la preuve documentée de l'envoi. Lorsqu'un registraire ment sur la réception de ces signalements pour échapper à ses responsabilités, de quels recours les victimes disposent-elles ? Il est peut-être temps de procéder à un audit indépendant de la gestion des signalements d'abus par les registraires — un audit qui comparerait les signalements envoyés aux mesures prises, et dont les résultats seraient rendus publics.

Une suspension de nom de domaine prononcée en temps opportun n'est pas seulement une mesure administrative. Ce n'est pas simplement « un désagrément pour le titulaire du nom de domaine ». C'est une opération de sauvetage. Chaque nom de domaine retiré à temps, c'est un portefeuille qui n'est pas vidé, un identifiant qui n'est pas volé, un compte d'épargne qui n'est pas vidé. Les bureaux d'enregistrement qui qualifient ces retraits de « censure » ou de « perturbation de l'activité » ne font que révéler au grand jour les intérêts qu'ils servent.

Les bureaux d'enregistrement devraient-ils indemniser les victimes ?

Voici la question que l'ensemble du secteur de l'enregistrement de noms de domaine refuse d'aborder :

Si un registraire reçoit un signalement d'abus étayé par des preuves — comprenant des détections de VirusTotal, des captures d'écran et des confirmations de présence sur des listes noires — et choisit de ne pas donner suite, est-il alors responsable des préjudices subis par les victimes à partir de ce moment-là ?

Réfléchissez-y. Une fois que le greffier a reçu le rapport, il est qui n'est plus dans l'ignorance. Ils ont été informés, preuves à l'appui, qu'un domaine sous leur contrôle est utilisé pour détourner de l'argent, des identifiants et des identités. À partir de ce moment-là, le fait de ne pas agir n'est plus de la négligence, c'est un décision délibérée pour permettre qu'un préjudice soit causé.

  • Le registraire est-il disposé à assumer la responsabilité ? pour chaque dollar volé via un nom de domaine dont ils avaient été avertis ?
  • Le registraire est-il prêt à indemniser les victimes ? qui a subi des pertes financières après le dépôt d'une plainte pour abus qui n'a pas été prise en compte ?
  • L'équipe juridique du registraire Vous comprenez bien que dire « nous avons vérifié et n'avons constaté aucun problème » — alors que 16 moteurs antivirus ne sont pas d'accord — n'est pas une position défendable ?

Si la réponse à ces trois questions est « non », il n'y a alors aucune raison valable de maintenir le nom de domaine actif. Suspendre d'abord, enquêter ensuite. C'est ainsi que fonctionnent les fournisseurs d'infrastructures responsables. C'est ainsi que fonctionne IANA #1910. C'est ainsi que fonctionnent de plus en plus les hébergeurs comme Hetzner et IANA #433. Seuls les bureaux d'enregistrement de noms de domaine s'accrochent à un modèle où la commodité de l'escroc prime sur la sécurité de la victime.

Qui en fait les frais ?

Chaque heure pendant laquelle un domaine de hameçonnage reste en ligne se traduit directement par de nouvelles victimes :

  • Domaines utilisés pour le « crypto-draining » (farewex, perowex, xerowex, naebex) — des portefeuilles vidés en quelques secondes. Les 4 658 heures cumulées des domaines d'[REDACTED] représentent des milliers de risques de vidage de portefeuille.
  • Faux casinos / Arnaques liées à CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — fraude à la carte bancaire, usurpation d'identité et manipulation des résultats visant les joueurs.
  • Usurpation d'identité d'un service (dexscreener[.]at, [REDACTED][.]receipts[.]sh, amlbot[.]im, [REDACTED]) — usurpation d'identité de marques entraînant le vol d'identifiants et des pertes financières.
  • Infrastructure de cardage (patricksstash, stashhpatrick) — vente de données de paiement volées à d'autres criminels.
75
jours Le fait que le site payscrow[.]bet ait pu continuer à fonctionner revient à laisser un pickpocket opérer dans un centre commercial pendant deux mois et demi après que les agents de sécurité en aient été informés, qu’on leur ait montré les images de vidéosurveillance et qu’ils aient identifié le suspect.

Ce qui doit changer

Le modèle actuel est défaillant de par sa conception même. Les bureaux d'enregistrement tirent profit du fait que les noms de domaine restent actifs. L'ICANN ne dispose d'aucun moyen de contrainte. Les victimes n'ont aucun recours. Voici ce qu'il faudrait faire pour remédier à cette situation :

  1. SLA obligatoire pour la gestion des signalements d'abus : Accusé de réception sous 24 heures, première intervention sous 72 heures, procédure d'escalade sous 7 jours. Mesurable. Vérifiable.
  2. Seuil de suspension automatique : Tout domaine présentant au moins 10 détections sur VirusTotal et au moins deux rapports indépendants doit être suspendu en attendant un examen — et non l'inverse.
  3. Rapports publics sur la transparence en matière d'abus : Chaque bureau d'enregistrement accrédité par l'ICANN doit publier chaque trimestre : les rapports reçus, le délai de réponse moyen, les mesures prises et les noms de domaine suspendus.
  4. Sanctions financières en cas de non-respect : Des amendes progressives pour les organismes d'enregistrement qui manquent systématiquement à leurs obligations. Retrait de l'accréditation pour les récidivistes.
  5. Médiateur indépendant chargé des cas de maltraitance : Un organisme tiers capable d'examiner les décisions des bureaux d'enregistrement, de remédier à leur inaction et d'accélérer les procédures de suspension en cas de menaces graves.
  6. Liste noire commune à tous les bureaux d'enregistrement : Lorsqu'il est confirmé qu'un titulaire est un contrevenant récidiviste, tous les bureaux d'enregistrement agréés doivent en être informés. Finie la chasse aux noms de domaine.

Ce que THE ENABLERS REGISTRY a fait pour y remédier

Nous ne nous contentons pas de rédiger des rapports en attendant que le secteur se réforme de lui-même. Nous mettons en place des systèmes qui imposent la transparence et prévoient des sanctions en cas d'inaction.

Base de données publique sur les menaces

Nous avons créé et assurons la maintenance du liste à supprimer — une base de données publique, mise à jour en permanence, répertoriant plus de 50 000 domaines malveillants. Chaque signalement d'abus que nous envoyons est désormais transmis au registraire : Ce domaine sera répertorié dans une base de données publique.. Les victimes potentielles des domaines de leurs clients pourront voir quand la plainte a été déposée et pendant combien de temps le bureau d'enregistrement l'a ignorée. C'est gênant pour les bureaux d'enregistrement — et c'est justement le but.

Pages consacrées aux menaces liées aux domaines

Chaque domaine que nous signalons dispose désormais d'une page dédiée à l'adresse enablers.report/domain — avec une analyse complète, une description des menaces générée par l'IA et un Processus de réponse aux menaces indiquant les étapes précises du traitement : détection, envoi du rapport, remontée de l'incident, notification à l'ICANN. Les statuts sont mis à jour en temps réel. Nous ajoutons désormais l'horodatage précis de chaque rapport de suivi afin de garantir une transparence totale. Tout le monde peut voir exactement quand le registraire a été informé et combien de temps il a choisi de ne rien faire.

Système d'escalade — Ne pas signaler une inondation

Nous faisons pas inonder les bureaux d'enregistrement de rapports en double. Dans 98 % des cas, nous envoyons un seul rapport initial et ne le répétons pas — à la fois en raison des limites quotidiennes d'envoi d'e-mails et parce que nous estimons que la duplication massive n'est pas la bonne approche. Nous n'envoyons un rapport de suivi que lorsqu'un domaine est à nouveau détecté comme actif lors d'une nouvelle analyse. Si nous envoyions quotidiennement des spams à tous les domaines actifs, cela représenterait 50 000 e-mails par jour. Ce n’est pas ce que nous faisons. Notre système d’escalade génère des rapports de suivi (n° 2, n° 3, etc.) contenant des résumés des menaces analysés par IA, les scores VirusTotal mis à jour et le nombre d’heures pendant lesquelles le registraire a ignoré la menace.

Outil de signalement communautaire

Sur notre bot [REDACTED] @EnablersRegistry, les utilisateurs peuvent désormais soumettre nouveaux rapports pour les domaines qu'ils ont constatés comme étant toujours actifs après notre signalement initial. Étant donné que trop de bureaux d'enregistrement permettent aux escrocs d'agir en toute impunité et ferment les yeux sur les dégâts catastrophiques qu'ils causent, nous donnons la parole à la communauté. Si un bureau d'enregistrement ne veut pas nous écouter, peut-être qu'il prêtera attention au nombre important de signalements indépendants émanant de véritables utilisateurs.

Avis aux responsables de projets frauduleux et aux bureaux d'enregistrement négligents : Si vous pensez que nous vous « bombardons » de rapports en masse, détrompez-vous. Nous n’envoyons qu’un seul rapport par événement de détection. Si vous recevez de nombreux rapports, c’est parce que vous hébergez de nombreux domaines malveillants. Ces rapports sont tous différents : ils concernent des domaines différents et s’appuient sur des preuves différentes. Le problème ne réside pas dans le volume de nos rapports, mais bien dans votre portefeuille de noms de domaine.

THE ENABLERS REGISTRY — nous ne protégeons pas les marques. Nous ne défendons pas les victimes. Nous démantelons les infrastructures utilisées pour le possibly phishing et les escroqueries.

Conclusion

Lorsque 16 moteurs antivirus signalent qu’un domaine est malveillant et qu’un registraire répond « aucune mesure prise », ce n’est pas qu’il fait preuve de discernement : il protège ses revenus. Lorsque 13 signalements distincts d’abus restent sans réponse et qu’un domaine reste actif pendant 1 352 heures, le registraire ne traite pas un arriéré de travail : il facilite la criminalité.

Les données présentées dans cet article ne sont pas théoriques. Il s'agit de notre journal en temps réel des signalements d'abus enregistrés au cours d'une semaine de mars 2026 — et derrière tout cela se cache Plus de 50 000 domaines signalés dans notre flux d'informations sur les menaces, mis à jour en permanence. Il ne s'agit pas d'un problème isolé concernant un seul registraire. Il s'agit d'un échec à l'échelle du secteur que les acteurs du secteur de l'enregistrement de noms de domaine n'ont aucun intérêt à y remédier, car le modèle actuel est rentable.

Il n'existe aucun éditeur d'antivirus dont les conclusions les bureaux d'enregistrement soient tenus de respecter. Il n'y a pas de seuil de détection déclenchant une action obligatoire. Il n'y a ni accord de niveau de service (SLA), ni obligation de rendre des comptes, ni conséquences. Le bureau d'enregistrement perçoit ses frais, ignore les rapports, et ce sont les victimes qui en font les frais.

Les bureaux d'enregistrement ne sont pas des fournisseurs d'infrastructure neutres. Ce sont des « gardiens » qui choisissent — chaque jour, à chaque signalement ignoré — de laisser les infrastructures criminelles en ligne. Ils sont informés des préjudices causés. Ils ont le pouvoir d’y mettre fin. Mais ils choisissent de ne pas le faire. Et tant que personne ne leur posera la seule question qui compte — « Êtes-vous disposé à indemniser les victimes des noms de domaine que vous avez refusé de suspendre ? » — rien ne changera.

Le silence de l'industrie sur cette question est la réponse la plus éloquente qui soit.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

Recherches connexes

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings